En 72 heures de sévices, Mydoom a été reconnu comme le vers e-mail le plus virulent qui a jamais existé.

Or, ce 28 janvier au soir, une nouvelle variante (Mydoom-B) a été annoncée dans les forums de sécurité crédibles. Trend Micro a pu l’identifier.

Il s’agit, là encore, d’un vers de type « mass-mailing » qui se diffuse au travers du carnet d’adresses en usurpant de vrais utilisateurs. Le vers continue de se propaser via le ‘peer-to-peer’ de Kasaa et dispose toujours d’une porte arrière (« back-door ») sur le port TCP 3127.

Mais cette deuxième variante s’avère plus nocive: elle interdit à l’hôte infecté de se mettre à jour auprès des différents éditeurs d’antivirus en écrasant le fichier HOSTS local et en rendant impossible les connexions vers une longue de sites (lire ci-après) où figurent les plus usités: ca.com, download.mcafee.com, f-secure.com, ssophos.com, go.microsoft.com, networkassociates.com, symantec.com,

www.kaspersky.ru, www.trendmicro.com…

Par ailleurs, Mydoom-B est susceptible d’infecter les ordinateurs à la simple lecture du courriel la contenant, contrairement à son grand frère Mydoom.A qui ne s’active qu’à l’ouverture d’un fichier joint, a indiqué à l’AFP Mikko Hyppoenen, responsable de la recherche antivirus de la société finlandaise de sécurité informatique F-Secure.

Comme son grand frère, la version B de Mydoom ouvre également une « back door » sur l’ordinateur infecté et permet à une personne extérieur de prendre le contrôle de la machine.

Mydoom-B a fortement ralenti le réseau internet et la correspondance électronique en infectant plus de 100 millions de mails dans le monde au cours des 36 premières heures après son apparition, et près du tiers de la correspondance électronique après deux jours d’activité.

Enfin, cette nouvelle version du ver est programmée pour s’attaquer à Microsoft, dont le site fera lui aussi l’objet d’une attaque par déni de service à partir du 1er février, tout comme celui de SCO.